EU-KI-Gesetz: Transparenzanforderungen erklärt
Übersicht über die Transparenzanforderungen des EU-KI-Gesetzes: Offenlegungspflichten für Chatbots und KI-Inhalte, Dokumentationsstandards, Fristen und Strafen.

EU-KI-Gesetz: Transparenzanforderungen erklärt
Das EU-KI-Gesetz ist der weltweit erste rechtliche Rahmen zur Regulierung von künstlicher Intelligenz mit einem starken Fokus auf Transparenz. Es führt strenge Anforderungen für Hochrisiko-KI-Systeme ein, die Nachverfolgbarkeit, Erklärbarkeit und Nutzerbewusstsein betonen. Hier ist, was Sie wissen müssen:
-
Wichtige Transparenzregeln:
- Hochrisiko-KI-Systeme müssen klare Dokumentationen bereitstellen, einschließlich Systemzweck, Leistungsmetriken, Einschränkungen und Betriebsdetails.
- Nutzer müssen darüber informiert werden, wenn sie mit KI-Systemen interagieren (z. B. Chatbots, Sprachassistenten).
- KI-generierte Inhalte wie Deepfakes müssen sichtbare Kennzeichnungen oder Metadaten enthalten.
-
Strafen bei Nichteinhaltung:
- Bußgelder von bis zu 38 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für Hochrisiko-Systeme.
- Bei allgemeinen KI-Systemen können Bußgelder 7,5 Millionen Euro oder 1 % des weltweiten Umsatzes erreichen.
-
Zeitplan:
- Die meisten Bestimmungen treten am 2. August 2026 in Kraft.
-
Dokumentationsstandards:
- Anbieter müssen eine geschichtete Dokumentation führen (z. B. systemweite Informationen, Entscheidungserklärungen) und detaillierte technische Unterlagen vorhalten.
Das Gesetz zielt darauf ab, Risiken wie Automatisierungsverzerrungen und Missbrauch zu reduzieren und gleichzeitig die Rechenschaftspflicht für KI-Entwickler und -Betreiber zu gewährleisten. Oft ist ein EU-KI-Gesetz Copilot erforderlich, um die komplexen Anforderungen zu navigieren. Compliance ist keine Option – sie ist notwendig, um Strafen zu vermeiden und Vertrauen in KI-Systeme aufzubauen.
::: @figure
{EU-KI-Gesetz Transparenzanforderungen: Übersicht zur Compliance von Hochrisiko- vs. allgemeinen KI-Systemen}
:::
Brando Benifei zur Balance zwischen Transparenz, geistigem Eigentum und Durchsetzung im EU-KI-Gesetz | RegulatingAI Podcast
::: @iframe https://www.youtube.com/embed/f62JIPXT8Cs :::
Transparenzanforderungen für Hochrisiko-KI-Systeme (Artikel 13)
Artikel 13 des EU-KI-Gesetzes legt spezifische Transparenzpflichten für Anbieter von Hochrisiko-KI-Systemen fest. Diese Anforderungen sollen sicherstellen, dass solche Systeme so gestaltet sind, dass Betreiber deren Ausgaben interpretieren und verantwortungsvoll nutzen können. Während Anbieter keinen proprietären Code offenlegen müssen, müssen sie dennoch wichtige Betriebsdetails teilen und Systemeinschränkungen erklären.
Anforderungen an Nutzerinformationen
Hochrisiko-KI-Systeme müssen mit klaren, zugänglichen Anweisungen ausgestattet sein, die leicht verständlich und digital verfügbar sind. Diese Anweisungen sollten Folgendes umfassen:
- Anbieterdetails: Identität und Kontaktdaten des Anbieters.
- Zweck: Eine klare Erklärung der beabsichtigten Verwendung des Systems.
- Leistungsdetails: Informationen zu Leistungsmetriken, Robustheitsmaßnahmen und getesteten Cybersicherheitsstandards.
- Bekannte Einschränkungen und Risiken: Eine Erörterung potenzieller Risiken, einschließlich solcher im Zusammenhang mit Gesundheit, Sicherheit oder Grundrechten sowie Risiken durch vorhersehbaren Missbrauch.
- Betriebsspezifika: Details zu Eingabedatenanforderungen, Protokollen für menschliche Aufsicht, Rechenbedarf, Systemlebensdauer und Wartungsplänen.
- Nachverfolgungsmechanismen: Mechanismen zur Protokollierung, Speicherung und Interpretation von Systemdaten, um Rechenschaftspflicht zu gewährleisten.
Neben den Nutzeranweisungen müssen Anbieter strenge Dokumentationspraktiken einhalten, um die Transparenzstandards des EU-KI-Gesetzes zu erfüllen.
Dokumentationsstandards
Das EU-KI-Gesetz schreibt kein einheitliches Format für die Dokumentation vor, betont jedoch einen geschichteten Ansatz, um den Bedürfnissen verschiedener Interessengruppen gerecht zu werden:
- Systemweite Dokumentation: Deckt das Gesamtverhalten des Systems, den beabsichtigten Zweck und bekannte Fehlerfälle ab.
- Entscheidungserklärungen: Konzentriert sich auf die Faktoren, die einzelne Ergebnisse beeinflussen, sowie auf die damit verbundenen Konfidenzniveaus.
- Technische Dokumentation: Bietet detaillierte Einblicke in die Architektur des Modells und Validierungsprozesse.
Ziel ist es, Erklärungen an die Bedürfnisse verschiedener Nutzer anzupassen. Beispielsweise können Tools wie SHAP oder LIME lokale Einblicke für komplexe Modelle bieten. Die Tiefe der Erklärung variiert je nach Interessengruppe – was eine medizinische Fachkraft über ein Diagnosewerkzeug wissen muss, kann sich erheblich von dem unterscheiden, was ein Verbraucher über eine Kreditbewertung verstehen muss.
Dieser mehrschichtige Dokumentationsansatz ist entscheidend für die Gewährleistung von Transparenz in Hochrisiko-KI-Anwendungen.
Beispiele für Hochrisiko-KI-Anwendungsfälle
So setzen sich diese Transparenzanforderungen in der Praxis um:
- KI im HR/Recruiting: Systeme, die für die Lebenslauf-Sichtung oder Interview-Bewertung eingesetzt werden, müssen Dokumentationen bereitstellen, die erklären, wie Kandidatenrankings bestimmt werden, wie das System über verschiedene Bewerbergruppen hinweg performt und welche Schutzmaßnahmen gegen Verzerrungen implementiert sind.
- Diagnosewerkzeuge im Gesundheitswesen: Krankenhäuser, die KI für Diagnosen nutzen, benötigen Informationen zur Genauigkeit des Tools über verschiedene Patientengruppen hinweg, die Art der medizinischen Bildgebung, auf der es trainiert wurde, Situationen, die menschliche Überprüfung erfordern, und wie Konfidenzwerte zu interpretieren sind.
Beispielsweise sollte ein Krankenhaus, das ein KI-Diagnosewerkzeug einsetzt, die Genauigkeit des Systems über verschiedene Patientengruppen hinweg verstehen und Anleitungen erhalten, wann menschliches Eingreifen notwendig ist. Ebenso muss eine Organisation, die KI für Einstellungsentscheidungen nutzt, die Fairness und Effektivität des Systems über verschiedene Bewerberprofile hinweg bewerten können und gleichzeitig die Einhaltung von Antidiskriminierungsstandards sicherstellen.
Allgemeine Transparenzregeln für KI-Systeme (Artikel 50)
Artikel 50 legt Transparenzanforderungen fest, die über Hochrisiko-Anwendungen hinausgehen und eine breite Palette von KI-Systemen betreffen. Diese Regeln gelten für KI-Systeme, die mit Menschen interagieren, Inhalte generieren oder Emotionserkennung durchführen. Ab dem 2. August 2026 können bei Nichteinhaltung Bußgelder von bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist [8].
Erwägungsgrund 27 des EU-KI-Gesetzes definiert Transparenz wie folgt:
„Transparenz bedeutet, dass KI-Systeme so entwickelt und genutzt werden, dass angemessene Nachverfolgbarkeit und Erklärbarkeit gewährleistet sind, während Menschen darüber informiert werden, dass sie mit einem KI-System kommunizieren oder interagieren, sowie darüber, dass Betreiber über die Fähigkeiten und Grenzen des Systems und betroffene Personen über ihre Rechte aufgeklärt werden.“ [1]
Offenlegung von KI-Interaktionen
Immer wenn ein KI-System direkt mit Nutzern interagiert – wie bei Chatbots, Sprachassistenten oder Kundendiensttools – müssen Nutzer darüber informiert werden, dass sie mit KI interagieren. Diese Offenlegung muss spätestens bei der ersten Interaktion erfolgen und klar und zugänglich sein [4][10]. Es gibt eine Ausnahme für Fälle, in denen es „aus den Umständen offensichtlich“ ist, dass die Interaktion KI beinhaltet, doch diese Ausnahme ist eng gefasst. Wie Abhishek G Sharma, Gründer und CEO von Move78 International Limited, rät:
„Die Ausnahme [für offensichtliche KI] ist eng gefasst... Meine Empfehlung: Offenlegung trotzdem vornehmen. Die Kosten für einen kleinen Hinweis sind null. Die Kosten für eine falsche Einschätzung der ‚Offensichtlichkeit‘ können bis zu 7,5 Millionen Euro betragen.“ [8]
Für bewährte Praktiken empfiehlt sich ein zweistufiger Ansatz: Ein dauerhaftes visuelles Indikator (z. B. ein „KI-Assistent“-Badge) sowie eine explizite Mitteilung bei der ersten Interaktion. Vermeiden Sie es, diese Informationen in den Nutzungsbedingungen zu verstecken – dies entspricht nicht der Anforderung nach „klarer und unterscheidbarer“ Darstellung [9]. Stellen Sie zudem sicher, dass diese Offenlegung den EU-Zugänglichkeitsstandards entspricht, um sie für alle verständlich zu machen.
Offenlegung von KI-generierten Inhalten
Wenn Ihr KI-System Audio, Bilder, Videos oder Texte generiert, muss es maschinenlesbare Metadaten nach Standards wie XMP, IPTC oder kryptografischen Herkunftssystemen wie C2PA enthalten [8]. Bei Deepfakes ist eine klare Kennzeichnung als künstlich generiert bei der Veröffentlichung zwingend erforderlich [7].
Ein bemerkenswertes Beispiel, warum dies entscheidend ist, ereignete sich im Februar 2026, als der deutsche öffentlich-rechtliche Sender ZDF in seiner „heute journal“-Sendung ein KI-generiertes Video ausstrahlte, das zeigte, wie ICE-Beamte eine Frau und Kinder festnahmen. Das Video wurde zur Veranschaulichung eines US-Einwanderungsberichts verwendet und unterstreicht die Bedeutung klarer visueller Kennzeichnungsstandards [12].
Bei Texten zu Themen von öffentlichem Interesse muss die KI-Beteiligung offengelegt werden, es sei denn, der Inhalt wurde einer gründlichen menschlichen Überprüfung mit dokumentierten redaktionellen Aufsichtsverfahren unterzogen. Eine einfache oder oberflächliche Überprüfung reicht nicht für diese Ausnahme aus [12].
| Art des KI-Inhalts | Verantwortliche Partei | Erforderliche Maßnahmen |
|---|---|---|
| Synthetischer Audio-/Bild-/Video-/Textinhalt | Anbieter | Maschinenlesbare Kennzeichnung (Metadaten/Wasserzeichen) |
| Deepfakes | Betreiber | Sichtbare Offenlegung bei Veröffentlichung |
| Texte zu Themen von öffentlichem Interesse | Betreiber | Offenlegung der KI-Generierung (außer bei menschlicher Überarbeitung) |
| Chatbots/Sprachassistenten | Anbieter | System so gestalten, dass Nutzer über KI-Interaktion informiert werden |
Einige Ausnahmen gelten. Beispielsweise müssen KI-Systeme, die assistierende Funktionen wie Rechtschreibprüfungen durchführen, nicht gekennzeichnet werden. Ebenso können künstlerische oder satirische Werke mehr Flexibilität genießen, obwohl die Anwesenheit von KI-generiertem Inhalt dennoch in einer Weise offengelegt werden sollte, die das Nutzererlebnis nicht stört [7].
Um die Transparenzanforderungen zu erfüllen, sollten Sie eine mehrschichtige Kennzeichnungsstrategie übernehmen. Dazu können digital signierte Metadaten, unsichtbare Wasserzeichen und detaillierte Systemprotokolle gehören [11][12]. Stellen Sie zudem sicher, dass Ihre Inhalts-Pipelines die Herkunftsmetadaten der KI beibehalten, anstatt sie zu entfernen. Die Führung eines Transparenzregisters, in dem dokumentiert wird, wie und wann Offenlegungsmechanismen eingesetzt werden, kann als wichtige Sicherheitsvorkehrung dienen, falls Regulierungsbehörden ermitteln – ein Prozess, der durch einen KI-Compliance-Policy-Assistenten vereinfacht werden kann [8]. Diese Maßnahmen tragen gemeinsam zur Transparenz bei und stellen sicher, dass Nutzer über KI-Interaktionen und -Ausgaben informiert bleiben.
Wie Sie die Transparenzanforderungen erfüllen
Die Erfüllung der Compliance-Anforderungen des EU-KI-Gesetzes für Transparenz erfordert mehr als nur das Abhaken von Kontrollkästchen. Organisationen müssen ihre Systeme bewerten, gründliche Dokumentationen erstellen und Nachweise führen, die einer regulatorischen Prüfung standhalten. Diese Schritte gewährleisten Rechenschaftspflicht während des gesamten Lebenszyklus des KI-Systems. Da die Durchsetzung der Anforderungen für Hochrisiko-KI-Systeme am 2. August 2026 beginnt und Bußgelder bei schweren Verstößen bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes erreichen können [5], ist Compliance keine Option – sie ist unerlässlich.
Durchführung von Transparenzbewertungen
Beginnen Sie damit, Ihre Interessengruppen zu identifizieren – dazu gehören Endnutzer, Systembetreiber, Prüfer und Entwickler – und stellen Sie sicher, dass Ihre KI-Systeme den jeweiligen Transparenzbedürfnissen gerecht werden [6]. Während ein Arzt, der ein Diagnose-KI-System nutzt, möglicherweise detaillierte technische Erklärungen benötigt, könnte ein Bankangestellter, der Kreditanträge prüft, weniger komplexe Einblicke benötigen. Für fortgeschrittene Modelle sollten Sie Tools wie SHAP oder LIME in Betracht ziehen, um zu erklären, wie bestimmte Entscheidungen getroffen werden, anstatt nur die Ergebnisse zu präsentieren [6].
Bevor Sie Hochrisiko-KI-Systeme einsetzen, führen Sie eine Fundamental Rights Impact Assessment (FRIA) durch [3]. Dieser Prozess identifiziert potenzielle Auswirkungen auf Grundrechte und dokumentiert die notwendigen Schritte zur Risikominderung. Halten Sie zudem automatisch generierte Protokolle für mindestens sechs Monate vor, um die Nachverfolgbarkeit zu gewährleisten [3].
Sobald Ihre Bewertungen bestätigen, dass Ihr System die Transparenzstandards erfüllt, konzentrieren Sie sich auf die Erstellung und Pflege agiler Dokumentationen.
Erstellung und Aktualisierung von Dokumentationen
Gemäß Artikel 11 und Anhang IV des EU-KI-Gesetzes müssen Sie eine technische Akte führen, die die Einhaltung aller Pflichten nachweist [13]. Dies ist keine einmalige Aufgabe – Ihre Dokumentation muss sich parallel zu Ihrem System weiterentwickeln. Ein kontinuierlich aktualisierter Dokumentationsprozess stellt sicher, dass Ihre Aufzeichnungen aktuell bleiben, während sich Ihr KI-System ändert.
Vorlagen wie Model Cards oder AI FactSheets können Ihnen helfen, konsistente und umfassende Dokumentationen zu erstellen [6]. Diese sollten Details wie Anbieteridentität, Systemmerkmale, bekannte Einschränkungen, Eingabedatenspezifikationen, Maßnahmen für menschliche Aufsicht und Wartungsanforderungen enthalten [2].
Um Ihre Dokumentation mit Systemaktualisierungen abzustimmen, implementieren Sie eine automatisierte Pipeline, die Aufzeichnungen bei jedem Modell-Retraining aktualisiert. Bei KI-generierten Inhalten verwenden Sie maschinenlesbare Labels nach Standards wie XMP, IPTC oder C2PA. Halten Sie zudem einen „Evidenz-Tresor“ vor, um unveränderliche Prüfprotokolle zu speichern [13].
Nutzung von ISMS Copilot für Compliance
Zur Vereinfachung Ihrer Compliance-Bemühungen können Sie Tools wie ISMS Copilot in Betracht ziehen. Diese Plattform bietet KI-gestützte Unterstützung, die speziell auf Transparenzanforderungen zugeschnitten ist. Sie deckt das EU-KI-Gesetz und über 50 weitere Rahmenwerke ab, was sie besonders nützlich für Organisationen macht, die mehrere Compliance-Anforderungen gleichzeitig bewältigen müssen.
Durch das Hochladen Ihrer KI-Dokumentation (PDF-, DOCX- oder XLS-Dateien bis zu 5 MB) kann ISMS Copilot Lücken identifizieren und priorisierte Remediationspläne erstellen, um fehlende Elemente in Ihren Transparenzunterlagen zu ergänzen [14]. Für gezieltere Ergebnisse können Sie spezifische Referenzen in Ihre Prompts aufnehmen, z. B. „Artikel 13 Anweisungen zur Nutzung“ oder „Artikel 50 Transparenzregeln“.
Wenn Sie Offenlegungstexte für KI-generierte Inhalte oder Interaktionen verfassen, kann ISMS Copilot Text generieren, der auf Basis Ihres Anwendungsfalls mit dem EU-KI-Gesetz konform ist. Die Plattform ermöglicht es Ihnen, Prompts durch die Angabe von Details wie dem Risikograd Ihres KI-Systems, dem Bereitstellungsmodell und dem Zweck anzupassen, sodass die Dokumentation Ihren spezifischen Anforderungen entspricht.
Zudem ermöglicht die Workspace-Funktion von ISMS Copilot die Verwaltung von EU-KI-Gesetz-Projekten getrennt von anderen Compliance-Rahmenwerken. Dies ist besonders hilfreich für Berater, die mit mehreren Kunden arbeiten. Der kostenlose Plan erlaubt 10 Dokument-Uploads pro Monat, während der Plus-Plan (24 USD/Monat) dieses Limit erhöht [14].
Fazit
Transparenz ist das Fundament von Vertrauen und Rechenschaftspflicht in KI-Technologien. Wie Erwägungsgrund 27 des Gesetzes erklärt:
„Transparenz bedeutet, dass KI-Systeme so entwickelt und genutzt werden, dass angemessene Nachverfolgbarkeit und Erklärbarkeit gewährleistet sind, während Menschen darüber informiert werden, dass sie mit einem KI-System kommunizieren oder interagieren.“ [1]
Diese Kernidee prägt alles – sei es die Dokumentation der Einschränkungen von Hochrisiko-Systemen oder die Gewährleistung, dass Chatbots ihre KI-Identität klar offenlegen.
In diesem Artikel haben wir gesehen, wie Transparenzanforderungen zentrale Herausforderungen angehen. Sie helfen, Automatisierungsverzerrungen entgegenzuwirken, geben Nutzern die Werkzeuge, um KI-gestützte Entscheidungen zu verstehen, und stellen sicher, dass diese Systeme innerhalb ihres vorgesehenen Rahmens bleiben [3].
Für Organisationen ist Transparenz keine bloße Pflichtübung – sie muss in jede Ebene ihrer KI-Systeme integriert werden. Wie Sacha Wilson und Jacky Lai von Harbottle & Lewis es ausdrücken:
„Die Richtung ist unmissverständlich: Das Gesetz positioniert Transparenz als Kernprinzip, das Designentscheidungen, Benutzeroberflächen und Governance-Prozesse beeinflussen wird.“ [3]
Indem sie Transparenz in ihre Prozesse einbetten – durch klare Dokumentation, sinnvolle Offenlegungen und starke menschliche Aufsicht – können Unternehmen regulatorische Erwartungen erfüllen und gleichzeitig ihre Position im EU-Markt stärken.
Darüber hinaus ist eine gründliche Dokumentation nicht nur ein Schutz vor Strafen, sondern auch ein Vertrauenssignal. Jasper Claes von Unorma betont:
„Dokumentierte Compliance-Bemühungen sind ein formeller mildernder Faktor im Rahmen des Gesetzes.“ [13]
FAQs
::: faq
Wie erkenne ich, ob mein KI-System unter das EU-KI-Gesetz als „Hochrisiko“ fällt?
Um festzustellen, ob Ihr KI-System als „Hochrisiko“ im Sinne des EU-KI-Gesetzes eingestuft wird, prüfen Sie, ob es in Bereichen wie kritischer Infrastruktur, biometrischer Identifikation oder Bildung eingesetzt wird. Zudem müssen Sie das potenzielle Risiko erheblicher Schäden bewerten. Hochrisiko-Systeme sind in Anhang III und Artikeln 9–15 des Gesetzes aufgeführt, wobei die Compliance-Fristen ab dem 2. August 2026 gelten. :::
::: faq
Was zählt als konforme KI-Offenlegung für Chatbots und Sprachassistenten?
Eine konforme KI-Offenlegung im Sinne des EU-KI-Gesetzes stellt sicher, dass Nutzer klar darüber informiert werden, wenn sie mit einem KI-System interagieren. Dazu gehört die Bereitstellung einfacher Informationen darüber, was das System kann und nicht kann, damit Nutzer dessen Fähigkeiten und Grenzen verstehen.
Transparenz ist ebenfalls entscheidend. Die Offenlegung sollte erklären, wie das KI-System Entscheidungen trifft und Einblicke in seine Prozesse geben. Zudem müssen KI-generierte Inhalte in einem maschinenlesbaren Format klar gekennzeichnet werden, um Identifizierbarkeit und Rechenschaftspflicht zu gewährleisten. :::
::: faq
Muss ich KI-generierte Texte kennzeichnen, wenn ein Mensch sie bearbeitet hat?
Auch wenn KI-generierte Inhalte später von einem Menschen bearbeitet werden, müssen sie gemäß dem EU-KI-Gesetz als KI-generiert gekennzeichnet werden. Das Gesetz verlangt, dass Nutzer darüber informiert werden, wann Inhalte von KI stammen oder durch KI verändert wurden. Diese Anforderung gilt unabhängig von menschlichem Eingriff in die Verfeinerung oder Änderung des Inhalts. Ziel ist die Wahrung der Transparenz, insbesondere bei Hochrisiko-KI-Systemen. :::
Verwandte Beiträge

Die Verzögerung bei Hochrisiko-KI-Systemen im AI Act ist keine Atempause
Die EU hat die Fristen für Hochrisiko-KI-Systeme auf Dezember 2027 und August 2028 verschoben. Der Grund für diese Verschiebung sollte Ihre Interpretation ändern: Es handelt sich um eine Warnung zu Ihrem Geltungsbereich, nicht um zusätzlichen Spielraum für Ihre Roadmap.

KI für die DSGVO: Automatisierung von Datenübermittlungen in Drittländer
Automatisieren Sie die Kartierung, Überwachung und Dokumentation von EU-Datenübermittlungen in Drittländer mit KI – rechtliche Entscheidungen bleiben bei den Teams.

Best Practices für die Vorbereitung auf Audits über mehrere Frameworks hinweg
Zentralisieren Sie Kontrollen, ordnen Sie überlappende Anforderungen zu und automatisieren Sie Nachweise, um Audit-Zeit und -Kosten über mehrere Compliance-Frameworks hinweg zu reduzieren.
